Dopo l’hacker dell’autoscuola sono tornato a collaborare con Le Iene, come perito informatico forense, nel caso di Noemi, una ragazza di Monreale in provincia di Palermo, che da 7 mesi sta raccogliendo prove digitali degli episodi di stalking di cui sarebbe vittima ricevendo quotidianamente messaggi con minacce da parte d’ignoti.
Il servizio de Le Iene, condotto da Veronica Ruggeri, andato in onda in due puntate, la prima il 18 novembre 2025 e la seconda il 26 novembre 2025 si apre con uno scenario nel quale Noemi narra gli eventi di cyberstalking che avrebbe subito nel corso degli ultimi sette mesi, fatti di messaggi SMS o Instagram, chiamate anonime, email con allegati, movimenti sotto casa, luci sospette e persino potenziali telecamere che spiano la vita sua e della madre.
Gli SMS paiono arrivare dallo stesso numero di telefono della ragazza, si possono quindi fare due ipotesi: spoofing (cioè invio di messaggi utilizzando come mittente il numero di qualcun altro) oppure provenienza degli SMS dallo stesso smartphone che li riceve.
I profili Instagram anonimi paiono essere stati creati e poi cancellati subito dopo le comunicazioni, quindi solo la Polizia Giudiziaria è in grado di ottenere informazioni, dall’esterno anche tramite tecniche OSINT non è possibile ricavare dati che possano essere utili a svelarne l’identità.
Durante la seconda puntata, nella quale ho contribuito come tecnico informatico forense per Le Iene al fine di far luce sul mistero dello stalker, abbiamo proceduto all’esecuzione di copie forensi tramite software Oxygen Forensics, con varie modalità – inclusa la Full File System FFS tramite Checkm8 – al fine di poter successivamente analizzare i dati acquisiti in maniera forense.
Prima di eseguire le copie forensi, insieme al collega Matteo Vinci – parte della società Forenser – abbiamo provveduto a generare il sysdiagnose degli iPhone e iPad, così da avere traccia dei crash log o bug report, utili per procedere con attività di spyhunting e rilevamento malware e spy software, per verificare l’eventualità che il telefono fosse controllato da remoto.
Martedì 4 novembre 2025 è andato in onda il servizio de Le Iene dove, come perito forense, ho aiutato la Iena Filippo Roma a trovare riferimenti a potenziali autori all’interno di una pendrive USB contenente un documento Word.
Il servizio de Le Iene parla di una questione nella quale non mi addentro, poiché mi è stato semplicemente chiesto se fosse possibile trovare l’autore, il proprietario o l’utilizzatore di una pendrive USB, in particolare basandomi su di un documento Microsoft Office Word in essa contenuto.
L’attività di perizia informatica è iniziata con la realizzazione di una copia forense della pendrive USB – così da cristallizzarne e preservarne il contenuto all’interno di una immagine forense con estensione EWF, in modo da poterla successivamente analizzare.
L’analisi forense svolta come perito informatico per Le Iene – in particolare per Filippo Roma e l’autore del servizio TV – è stata eseguita tramite il software X-Ways Forensics, con il quale ho eseguito carving, recupero dati e ricostruzione del filesystem, inclusi file cancellati e relativi metadati EXIF di immagini, OOXML di file Word e XMP di file PDF.
Il software XWF – X-Ways Forensics – permette a chi opera come consulente informatico forense di eseguire attività di analisi e perizia informatica su immagini forensi al fine di ricostruire file eliminati e categorizzare metadati ed evidenze digitali
Come contro-verifica – in ambito informatica forense è sempre importante l’attività di cross examination – ho utilizzato anche il noto software open source Exiftool, così da poter confermare le risultanze ottenute mediante il tool forense XWF e produrre quindi una valutazione circa l’attribuzione del file.
Nella pendrive erano presenti ulteriori file di tipo “.Trashes”, “.TemporaryItems”, “.Spotlight-V100” con i subfolder “Store-V2” e all’interno i vari journal e index, ma in nessuno di tali artefatti erano contenute indicazioni circa l’attribuzione della pendrive o meglio, si sono trovati gli stessi riscontri presenti nel file Word oggetto di analisi.
Dal punto di vista informatico forense, la presenza di uno specifico nominativo nel campo “Creator/Author” o “Last Modified By/Last Saved By” non indica necessariamente l’autore del documento o dell’ultima modifica ma il nominativo con cui è stato configurato il software utilizzato per generare il documento Word.
In genere, quindi, quando si rileva un nominativo nel campo autore del documento o dell’ultima modifica al documento in un file Word – ma anche Excel o Powerpoint, oltre a PDF o eventuali file JPG, multimediali, etc… – possono verificarsi tre situazioni:
Il nominativo presente nei dati EXIF/XMP/OOXML può effettivamente essere l’autore del documento;
Lo user indicato nei metadati del file Word può essere quello con cui è stato configurato il sistema utilizzato per creare o modificare il file ma il file non è stato creato/modificato da tale soggetto;
Lo username reperibile nei meta dati può essere stato inserito apposta nel file da terzi per forzare l’attribuzione di un file a un soggetto (es. per attribuirgli la creazione/modifica del file).
Ovviamente dall’analisi forense di un solo file non è possibile distinguere con una perizia informatica in quale casistica di quelle riportate sopra rientri, se non esaminando ulteriori elementi (es. altri file presenti sul dispositivo, percorsi/path del filesystem lasciati nei file, negli indici o nei dati temporanei, etc…) e quindi non si possono fare ulteriori valutazioni.
Proprio per questo motivo è importante procedere con la massima cautela quando si ricavano informazioni dai metadati dei file, valutando le possibili interpretazioni in base a ulteriori elementi, anche investigativi, che possano confermare o meno l’attendibilità dell’attribuzione.
Mercoledì 5 novembre dalle 10:00 alle 13:00 si terrà a Milano presso la Sala Conferenze “Eligio Gualdoni” nel Palazzo di Giustizia Milano il seminario “La prova nelle indagini preliminari, prove informatiche e sfide dell’intelligenza artificiale”, evento gratuito, organizzato dall’Ordine degli Avvocati di Milano – Commissione Codice Rosso – attraverso la Fondazione Forense, nell’ambito del programma di formazione continua per gli Avvocati.
I saluti introduttivi dell’evento sulla prova digitale nelle indagini preliminari che si terrà a Milano in Tribunale saranno dell’Avv. Antonio Finelli, Consigliere dell’Ordine degli Avvocati di Milano, Coordinatore della Commissione Codice Rosso.
I temi trattati e i relatori della giornata su “La prova nelle indagini preliminari, prove informatiche e sfide dell’intelligenza artificiale” saranno i seguenti:
L’acquisizione e conservazione della prova informatica: breve lettura del quadro normativo italiano e della giurisprudenza di legittimità – Avv. Maria Teresa Zampogna, Componente della Commissione Codice Rosso dell’Ordine degli Avvocati di Milano;
L’efficacia probatoria dei documenti informatici e la valutazione giudiziale delle prove digitali – Avv. Anna Campanella, Componente della Commissione Codice Rosso dell’Ordine degli Avvocati di Milano;
L’impatto dell’intelligenza artificiale generativa nella raccolta della prova informatica: dall’analisi delle tecnologie di manipolazione e di rilevamento alle strategie difensive e probatorie – Dott. Paolo Dal Checco, Consulente Informatico Forense;
Deepfake, manipolazione digitale e nuove sfide probatorie: prassi e azioni del Tribunale nella valutazione della prova informatica nell’epoca dell’intelligenza artificiale generativa – Dott. Roberto Crepaldi, Giudice per le Indagini Preliminari presso il Tribunale di Milano;
L’art. 50 del codice deontologico forense: fra dovere di verità e la raccolta e l’utilizzo di prove (false) – Avv. Antonio Finelli, Consigliere dell’Ordine degli Avvocati di Milano, Coordinatore della Commissione Codice Rosso;
Il ruolo dell’investigatore privato nella genesi dell’evidenza digitale – Fabio Di Venosa, Investigatore privato.
La partecipazione all’evento consente l’attribuzione di n. 3 crediti formativi di cui n. 1 in materia obbligatoria.
La locandina dell’evento “La prova nelle indagini preliminari, prove informatiche e sfide dell’intelligenza artificiale” è disponibile qui di seguito per la visione o il download.
Nel mese di ottobre 2025 sono andate in onda le tre puntate del servizio de Le Iene “Chi è l’hacker dell’autoscuola?” dove – come perito informatico per Le Iene – ho aiutato la iena Veronica Ruggeri a capire chi è l’hacker che per oltre un anno fa cyberstalking a due dipendenti di una scuola guida – Chiara e Andrea – accedendo ai sistemi e intercettando comunicazioni, inviando centinaia di messaggi giornalieri e monitorando in tempo reale le vittime.
Nei servizi andati in onda su Mediaset ho collaborato come consulente informatico forense per Le Iene supportando Veronica Ruggeri nella difficile analisi forense di un caso – un hacker che da un anno e mezzo tormenta i dipendenti di una scuola guida – dove la tecnologia è protagonista di una situazione paradossale.
Il caso dell’hacker dell’autoscuola trattato a Le Iene al quale ho avuto l’opportunità di collaborare come perito informatico ha destato notevole interesse perché contiene numerosi elementi tecnici tipici di situazioni nelle quali le vittime subiscono attacchi informatici che si concretizzano poi in diversi reati, tra i quali reati informatici come quelli di accesso abusivo (art. 615-ter, c.p.), danneggiamento di dati e programmi informatici (art. 635-bis, c.p.), intercettazione di comunicazioni informatiche o telematiche (art. 617-quater, c.p.), interferenze illecite nella vita privata (art. 615-bis, c.p.), installazione di apparecchiature atte a intercettare comunicazioni informatiche o telematiche (art. 617-quinquies, c.p.).
Nell’ambito dei tre servizi andati in onda nel mese di ottobre 2025 sono intervenuto – insieme a parte del team Forenser Srl composto per l’occasione da Matteo Vinci, Daniele Scanu e Marco Musumeci – In qualità di esperto informatico per Le Iene nella fase di ricognizione, intervista ai protagonisti, copia forense di smartphone e PC oltre che analisi forense di PC, smartphone, takeout, account e sistemi per poter arrivare a ricostruire la dinamica degli attacchi informatici subiti.
Durante la prima parte del servizio per Le Iene sull’hacker dell’autoscuola, Veronica Ruggeri fa emergere un quadro preoccupante nel quale i due protagonisti – Andrea e Chiara – illustrano oltre un anno di minacce, email anonime, telefonate, SMS, Whatsapp, messaggi su Instagram, accessi a mailbox, Facebook e social network, conti bancari, modem dell’autoscuola e tante altre superfici d’attacco violate dal misterioso attaccante.
Dopo la prima ricognizione con le Iene abbiamo formulato diverse ipotesi operative e iniziato a lavorare sulle copie forensi di PC e smartphone prodotte tramite il software di mobile forensics Oxygen Forensics durante il primo accesso presso la scuola guida.
Durante il secondo accesso sono emersi nuovi indizi, non soltanto informatici, tra i quali un principio d’incendio occorso nei locali dell’autoscuola e un approfondimento di Veronica Ruggeri sulle tempistiche di apertura della serranda dell’autoscuola, per capire come possa essere stata pilotata da remoto una tecnologia che è invece stata progettata per essere gestita soltanto dai telecomandi sincronizzati con la centralina.
Nel terzo servizio de Le Iene sull’hacker dell’autoscuola vengono invece presentati i risultati della perizia informatica svolta uno smarthpone tramite un misto di mobile forensics, network forensics, email forensics e più in generale digital forensics sui dispositivi forniti dalle vittime dello stalking, mostrando come numerose tracce dell’hacker sono state rinvenute in particolare su di uno smartphone.
Ricordiamo che in tutti i casi nei quali sono necessari accertamenti su dispositivi mobili o fissi (smartphone, notebook, PC, etc…) è importante rivolgersi a società che si occupano d’informatica forense come la Forenser Srl o lo Studio d’Informatica Forense per cristallizzare le evidenze digitali e produrre analisi tecniche che conducano a una perizia informatica forense.
Per chi avesse curiosità di visionare le tre puntate della serie dell’hacker dell’autoscuola, dove ho avuto l’opportunità di collaborare come perito informatico forense per Le Iene, sono disponibili ai seguenti link sul sito Mediaset:
Poiché il servizio per Le Iene sull’hacker della scuola guida ha sensibilizzato notevolmente il pubblico sulla protezione dei propri dati e dei propri dispositivi, ricordiamo che per difendersi da potenziali malware, virus, trojan o spy software, si possono seguire alcuni consigli, tra i quali ad esempio:
scegliere password non facili da indovinare, diverse tra loro e non condividerle;
aggiornare smartphone e tablet, incluse le App che non sempre si aggiornano automaticamente;
evitare di usare dispositivi troppo obsoleti che non possono essere aggiornati all’ultima versione di iOS o Android;
non installare App scaricate fuori dagli store ufficiali, come ad esempio APK che si trovano online o vengono riportati su siti web o SMS ricevuti;
non fidarsi di email, SMS, Whatsapp che suggeriscono di cliccare su link o installare App;
prestare attenzione alle notifiche di richiesta dei permessi per accedere ad audio, video, GPS, etc…
utilizzare un secondo fattore di autenticazione (es. Google Authenticator, SMS, Whatsapp, meglio ancora Yubikey o chiavetta U2F) ove possibile non sullo stesso dispositivo che s’intende proteggere;
evitare rooting o jailbreak;
attivare l’opzione di protezione avanzata per gli account Apple (Advanced Data Protection) e Google (Advanced Protection Program);
in caso di dubbi sulla potenziale compromissione del proprio dispositivo Apple, abilitare l’opzione “Lockdown” su iPhone
installare antivirus, antimalware, anche su dispositivi Android o Apple e non solo su PC.
Martedì 21 ottobre ho avuto il piacere di partecipare come docente al Seminario in FAD sincrona dal titolo “Informatica Forense e NIS2, un connubio indissolubile ma sottovalutato” durante il quale ho presentato i punti di contatto tra la direttiva NIS2 e la digital forensics, mostrando come il testo di legge possa essere letto alla luce di uno scenario nel quale l’informatica forense possa essere di supporto sia per la fase di prevenzione sia per quella di gestione dell’incidente informatico.
La giornata di corso sulla direttiva NIS2, organizzata dal FOIM – Fondazione Ordine Ingegneri della Provincia di Milano – con Responsabile Scientifico l’Ing. Luca Reggiani, ha visto tra i docenti stimati professionisti che hanno illustrato ai discenti questioni legate alla cybersecurity, informatica forense, strumenti pratici, analisi dei rischi, compliance e standard.
Programma del corso sulla NIS2 organizzato dal FOIM
14.28 | Collegamento alla piattaforma
14.30 | Presentazione del seminario
14.35 | NIS 2: ermeneutica della complessità, un approccio organizzativo integrato alla cybersicurezza – Giuseppe SERAFINI – Avv.
15.10 | Informatica Forense e NIS2, un connubio indissolubile ma sottovalutato – Paolo DAL CHECCO – Consulente Informatico Forense
15.45 | Question time
16.00 | Strumenti pratici per l’implementazione dei prerequisiti NIS-2, ISO27001, GDPR – Alberto BENZONI – Fast-Group
16.35 | Kill Risk: analisi dei rischi rispetto ai controlli (da ISO 27001 a NIST CSF passando per la NIS2) – Gianluigi ANGOTTI – Cons.
17.10 | Recepimento NIS2 e armonizzazione cybersecurity: compliance, standard internazionali e impatti organizzativi – Roberto RE – Cons.
17.45 | Question time
18.00 | Conclusioni e chiusura seminario
Docenti del corso sulla direttiva NIS2
Dott. Paolo Dal Checco, Consulente Informatico Forense
Ing. Gianluigi Angotti, CISO (Chief Information Security Officer)
Ing. Roberto Re, Consigliere dell’Ordine degli Ingegneri della Provincia di Milano
Avv. GiuseppeSerafini, Avvocato presso Studio Legale
Dott. Alberto Benzoni, Amministratore Delegato Eureka Srl
Il mio intervento su NIS2 e Informatica Forense
Il mio intervento nel corso sulla NIS2 è stato intitolato “Informatica Forense e NIS2: Un Connubio Indispensabile per la Sicurezza Sistemica” ed è stato dedicato all’importanza critica del legame tra Informatica Forense e la Direttiva NIS2, un binomio che, sebbene indissolubile, è ancora troppo sottovalutato.
In qualità di Consulente Informatico Forense e fondatore di Forenser Srl, forte di un’esperienza decennale sul campo e oltre 2.000 casi gestiti in ruoli tecnici e legali – esperienza maturata a partire dal mio Dottorato di Ricerca in Informatica focalizzato sulla sicurezza informatica e sulla crittografia – ho voluto sottolineare come la NIS2 imponga un radicale cambio di paradigma.
Non è più sufficiente limitarsi ad acquistare soluzioni tecnologiche; la normativa richiede infatti di dimostrare l’efficacia misurabile delle misure di sicurezza implementate, adottando un approccio multi-rischio che deve essere proporzionale al livello di rischio precedentemente valutato.
L’informatica forense o digital forensics si rivela essenziale non solo nella risposta agli attacchi, ma in ogni misura minima prevista dall’Articolo 24. Per esempio, è fondamentale per condurre una corretta Analisi dei Rischi, poiché solo l’analisi retrospettiva degli incidenti passati – inclusi quelli tentati o “mancati” – può fornire i dati necessari per questa valutazione. Essa rappresenta il campo di gioco principale nella Gestione degli Incidenti e nella verifica dell’integrità dei sistemi di Continuità Operativa, dove solo un’analisi approfondita può confermare che i backup non siano stati compromessi. Inoltre, l’analisi post-incidente è l’unica vera metrica per la Valutazione dell’Efficacia degli strumenti di logging, EDR o SIEM utilizzati, e risulta imprescindibile per rispondere alla domanda fondamentale in termini di sicurezza del personale: “Chi ha fatto cosa, quando e come?”.
La sfida più grande si concentra tuttavia sulla gestione delle tempistiche stringenti dettate dall’Articolo 25. Dalla pre-notifica da inviare al CSIRT Italia entro 24 ore fino alla Relazione Finale Completa richiesta entro un mese, la pressione sui CISO è altissima. Questa relazione finale deve obbligatoriamente includere la Root Cause Analysis, ovvero l’identificazione precisa della causa originale che ha innescato l’evento dannoso. Ed è qui che emerge il punto cruciale della lezione: è impossibile identificare con certezza la root cause – come pare effettivamente richiesto dalla normativa NIS2 – senza condurre un’indagine approfondita di Informatica Forense o Digital Forensics.
In conclusione, la Direttiva NIS2 ci spinge verso un approccio olistico alla sicurezza che integra misure Tecniche, Organizzative e Operative; in questo scenario, i log di sistema e le procedure operative diventano la fonte primaria di prova. L’informatica forense, dunque, non è un’opzione, ma una necessità tecnica e legale imprescindibile per soddisfare gli obblighi normativi e garantire una protezione efficace dell’organizzazione in un contesto normativo che si focalizza sull’interruzione dei servizi essenziali e sull’impatto sistemico.
Slide della lezione su NIS2 e Informatica Forense tenuto per FOIM
Le slide della lezione su NIS2 e Digital Forensics tenuto per FOIM sono disponibili qui di seguito per la visione o il download.
